blob: 8a7676bbebfeb650415d31ab4505c386ab5c1a22 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
|
#use wml::debian::translation-check translation="b2d59e27c8885e3fd69c617daa6a5e823e8f95ef"
<define-tag description>actualización de seguridad</define-tag>
<define-tag moreinfo>
<p>Se han descubierto varias vulnerabilidades en Quagga, un demonio
de enrutamiento. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los
problemas siguientes:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5378">CVE-2018-5378</a>
<p>Se descubrió que el demonio BGP de Quagga, bgpd, no comprueba
correctamente los límites de los datos enviados a un par con un NOTIFY si la
longitud de un atributo es inválida. Un par BGP configurado puede
aprovechar este defecto para leer memoria del proceso bgpd o para causar
denegación de servicio (caída del demonio).</p>
<p>https://www.quagga.net/security/Quagga-2018-0543.txt</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5379">CVE-2018-5379</a>
<p>Se descubrió que el demonio BGP de Quagga, bgpd, puede hacer una doble liberación
de memoria al procesar ciertas formas de mensajes UPDATE que contengan
atributos «cluster-list» y/o desconocidos, dando lugar a denegación de
servicio (caída del demonio bgpd).</p>
<p>https://www.quagga.net/security/Quagga-2018-1114.txt</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5380">CVE-2018-5380</a>
<p>Se descubrió que el demonio BGP de Quagga, bgpd, no gestiona
correctamente las tablas de conversión de código a cadena de caracteres («code-to-string») internas de BGP.</p>
<p>https://www.quagga.net/security/Quagga-2018-1550.txt</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-5381">CVE-2018-5381</a>
<p>Se descubrió que el demonio BGP de Quagga, bgpd, puede entrar en un
bucle infinito si un par configurado le envía un mensaje OPEN inválido.
Un par configurado puede aprovechar este defecto para provocar denegación
de servicio (el demonio bgpd no responde a ningún otro evento; caen
las sesiones BGP y no son restablecidas posteriormente; la interfaz CLI
deja de responder).</p>
<p>https://www.quagga.net/security/Quagga-2018-1975.txt</p></li>
</ul>
<p>Para la distribución «antigua estable» (jessie), estos problemas se han corregido
en la versión 0.99.23.1-1+deb8u5.</p>
<p>Para la distribución «estable» (stretch), estos problemas se han corregido en
la versión 1.1.1-3+deb9u2.</p>
<p>Le recomendamos que actualice los paquetes de quagga.</p>
<p>Para información detallada sobre el estado de seguridad de quagga consulte su página
del «security tracker» en: <a href="https://security-tracker.debian.org/tracker/quagga">\
https://security-tracker.debian.org/tracker/quagga</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4115.data"
|